A necessidade de integrar ferramentas de cibersegurança

 

Os melhores programas de cibersegurança combinam dois conceitos básicos de segurança: defesa em profundidade e o "mapa de calor" de risco de impacto nos negócios.“ Defesa em profundidade É a prática de construir camadas de contramedidas para evitar que uma violação em uma camada coloque todo o sistema em risco. Essa abordagem pode incluir firewalls, controles baseados em regras, gerenciamento de identidade e acesso, segurança física, biometria, criptografia, gerenciamento de incidentes e assim por diante.

Os melhores programas de cibersegurança combinam defesa em profundidade com um "mapa de calor" de riscos e impactos nos negócios.“

Em contraste, o mapa de calor A estratégia de defesa cibernética abrange todas essas camadas e concentra os recursos de proteção nos ativos de dados mais críticos. Se uma violação de um banco de dados específico puder causar o maior dano aos negócios, ele deve receber a melhor defesa.

Esses componentes resultam em uma matriz de contramedidas e controles de intensidade variável para cada uma das ferramentas e planos de segurança específicos da organização.

Figura 1 – Integração entre um sistema SIEM e ferramentas de segurança que fornecem dados para ele.

Integração de ferramentas de cibersegurança para uma melhor defesa.

Nenhuma ferramenta de cibersegurança isolada consegue fazer tudo. Cada ferramenta desempenha um papel importante em uma solução de segurança integrada e mais ampla. As necessidades específicas da organização determinam como cada ferramenta funciona e interage com as outras, mas, para funcionarem em conjunto, elas precisam estar integradas.

Imagine que uma organização empregue:

• Firewalls
• dispositivos de segurança de rede sem fio
• Um Sistema de Detecção de Intrusão (IDS)
• Segurança baseada em e-mail
• software antivírus

Embora cada ferramenta execute funções específicas, a menos que sejam integradas, seus esforços serão isolados e o impacto na postura geral de segurança da organização será limitado. Gestão de Incidentes e Eventos de Segurança (SIEM) O sistema pode ajudar. Os SIEMs assimilam informações de cada uma das ferramentas de segurança. A Figura 1 mostra uma maneira de visualizar essas conexões.

Uma solução SIEM analisa múltiplos fluxos de dados e identifica ameaças potenciais correlacionando pontos de dados entre as diferentes ferramentas. Isso é possível graças à integração de aplicativos. Cada ferramenta se integra à solução SIEM para compartilhar seus fluxos de dados. Essa integração entre as ferramentas proporciona uma segurança superior à que uma ferramenta individual oferece isoladamente.

É possível levar o cenário de segurança por meio da integração ainda mais longe com um Automação de segurança A solução SAO (Solution and Orchestration) automatiza os processos de análise de ameaças e resposta a incidentes em uma única plataforma. A Figura 2 mostra sua aparência. O SAO pode receber dados de SIEMs, bem como combinar fluxos de dados de fontes externas de inteligência de ameaças. Em seguida, por meio de sua interface de gerenciamento de casos e automação, ele executa fluxos de trabalho predefinidos e orquestrados através de aplicativos de emissão de tickets como o Jira.

Simplificando a integração de segurança

Para que isso funcione, a integração precisa ser simples, rápida e barata. Se as tecnologias e os processos forem complexos e proprietários, a integração pode ser muito cara para um ambiente de segurança. Há simplesmente muitas variáveis e mudanças envolvidas para que uma integração proprietária ou que dependa muito de serviços profissionais seja viável.

Em vez disso, a integração de segurança se baseia em padrões abertos. Embora os detalhes variem de acordo com o fornecedor, a maioria das ferramentas de segurança modernas, sistemas SIEM e soluções SAO utilizam APIs RESTful e a linguagem JSON sobre HTTP. Com essas APIs, linguagens e protocolos amplamente aceitos, é possível e mais fácil conectar e reconectar os elementos de um ambiente de segurança integrado conforme a necessidade.

Se as tecnologias e os processos de integração forem complexos e proprietários, a integração poderá ser demasiado dispendiosa para um ambiente de segurança.

Figura 2 – Uma solução SAO utiliza dados do SIEM e suas ferramentas de segurança integradas, fornecendo um processo de gerenciamento centralizado e automatizado para resposta a incidentes.

Integrando a solução Swimlane SAO

Solução SAO da Swimlane Automatiza as operações de segurança para equipes corporativas. Oferece alertas de segurança centralizados e orquestração e automação de segurança em tempo real para responder a incidentes automaticamente — na velocidade da máquina. Isso reduz drasticamente o MTTR (Tempo Médio para Reparo) e fornece contexto adicional para a tomada de decisões. avaliar qualquer alerta dado.

Além disso, os analistas podem automatizar tarefas repetitivas usando o Swimlane para gerenciar incidentes com mais eficiência. Isso aumenta a satisfação no trabalho e torna cada analista de segurança mais produtivo. muito mais produtivo.

O Swimlane é entregue com Integrações pré-configuradas com as principais tecnologias de cibersegurança. Utilizando linguagens de script comuns e uma API RESTful, essa capacidade de integração aberta baseada em padrões é extremamente útil para equipar as organizações com a cibersegurança mais eficaz possível, independentemente do estágio em que se encontrem seus recursos de mapeamento de calor e defesa em profundidade.